Professional Documents
Culture Documents
Y ACTIVE DIRECTORY
Servicio DNS
Definicin
DNS es una abreviatura de Sistema de Nombres de Dominio (Domain
Name System), un sistema para asignar nombres a equipos y
servicios de red que se organiza en una jerarqua de dominios. La
asignacin de nombres DNS se utiliza en las redes TCP/IP, como
Internet, para localizar equipos y servicios con nombres sencillos.
Cuando un usuario escriba un nombre DNS en una aplicacin, los
servicios DNS podrn traducir el nombre a otra informacin asociada
con el mismo, como una direccin IP.
Por ejemplo, la mayora de los usuarios prefieren un nombre fcil de
utilizar como www.upm.es para localizar un equipo (como un servidor
Web o de correo electrnico) en la red. Un nombre sencillo resulta
ms fcil de aprender y recordar. Sin embargo, los equipos se
comunican a travs de una red mediante direcciones numricas. Para
facilitar el uso de los recursos de red, los servicios de nombres como
DNS proporcionan una forma de asignar estos nombres sencillos de
los equipos o servicios a sus direcciones numricas.
Descripcin del servicio DNS
Nombres de dominio
El Sistema de Nombres de Dominio (DNS) se defini originalmente
en los documentos de Peticin de comentarios (RFC, Request for
Comments) 1034 y 1035. Estos documentos especifican elementos
comunes a todas las implementaciones de software relacionadas
con DNS, entre los que se incluyen: ?? Un espacio de nombres de
dominio DNS, que especifica una jerarqua estructurada de
dominios utilizados para organizar nombres. ?? Los registros de
recursos, que asignan nombres de dominio DNS a un tipo
especfico de informacin de recurso para utilizar cuando se registra
o se resuelve el nombre en el espacio de nombres. ?? Los
servidores DNS, que almacenan y responden a las consultas de
nombres para los registros de recursos. ?? Los clientes DNS, que
consultan a los servidores para buscar y resolver nombres de un
tipo de registro de recursos especificado en la consulta.
Descripcin del espacio de
nombres de dominio DNS
El espacio de nombres de dominio DNS, como se
muestra en la figura 4.7, se basa en el concepto de un
rbol de dominios con nombre. Cada nivel del rbol
puede representar una rama o una hoja del rbol. Una
rama es un nivel donde se utiliza ms de un nombre
para identificar una coleccin de recursos con nombre.
Una hoja representa un nombre nico que se utiliza una
vez en ese nivel para indicar un recurso especfico.
El grfico anterior muestra cmo Microsoft es la
autoridad asignada por los servidores raz de Internet
para su propia parte del rbol del espacio de nombres
de dominio DNS en Internet. Los clientes y los
servidores DNS usan las consultas como el mtodo
fundamental para resolver los nombres en el rbol como
informacin especfica de los tipos de recurso. Los
servidores DNS proporcionan esta informacin a los
clientes DNS en las respuestas a las consultas, quienes,
a continuacin, extraen la informacin y la pasan al
programa solicitante para resolver el nombre consultado.
En el proceso de resolucin de un nombre, tenga en
cuenta que los servidores DNS funcionan
frecuentemente como clientes DNS, consultando a otros
servidores para resolver completamente un nombre
consultado.
Como se organiza el espacio de
nombres de dominio DNS
Cualquier espacio de nombres de dominio DNS que se utiliza en el rbol es,
tcnicamente, un dominio. Por ejemplo, el nombre de dominio DNS registrado
para Microsoft (microsoft.com.) se conoce como un dominio de segundo nivel.
Esto se debe a que el nombre tiene dos partes (llamadas etiquetas) que indican
que se encuentra dos niveles por debajo de la raz o la parte superior del rbol. La
mayor parte de los nombres de dominio DNS tienen dos etiquetas o ms, cada
una de las cuales indica un nuevo nivel en el rbol. En los nombres se utilizan
puntos para separar las etiquetas.
Adems de los dominios de segundo nivel, en la tabla 4.2 se describen otros
trminos que se utilizan para describir los nombres de dominio DNS segn su
funcin en el espacio de nombres.
Tipo de nombre Descripcin Ejemplo
Es la parte superior del rbol, que Un slo punto (.) o
representa un nivel sin nombre; a veces, un punto usado al
se muestra como dos comillas vacas final
(""), que indican un valor nulo. Cuando del nombre, como
se utiliza en un nombre de dominio DNS, "ejemplo.microsoft.c
empieza con un punto (.) para designar om.".
El dominio raz que el nombre se encuentra en la raz o
en el nivel ms alto de la jerarqua del
dominio. En este caso, el nombre de
dominio DNS se considera completo e
indica una ubicacin exacta en el rbol
de nombres. Los nombres indicados de
esta forma se llaman nombres de
dominio completos (FQDN, Fully
Qualified Domain Names)
Nombres no nicos
Los nombres distinguidos estn asegurados de ser nicos en un bosque. El Directorio Activo no permite que dos
objetos tengan el mismo nombre distinguido relativo bajo el mismo contenedor padre. Por definicin el GUID es
nico. Los nombres principales de los usuarios tienen que ser nicos, pero el Directorio Activo no garantiza este
requerimiento, por lo que es posible tener nombres principales de usuarios duplicados
Descripcin del Directorio Activo
El Directorio Activo permite organizar los recursos de una manera lgica, lo que simplifica la bsqueda de un
recurso por su nombre. El usuario no conoce ni necesita conocer la estructura fsica del Directorio.
Todo lo que se encuentra en el Directorio Activo es, ante todo y finalmente, un objeto. Por lo cual, se puede decir
que el Directorio Activo es un directorio de objetos.
Estructura lgica
Directorio Activo es una estructura arbolada jerrquica que agrupa, de menor a mayor, los siguientes
componentes:
Objetos.
Objetos contenedores.
Unidades Organizativas.
Dominios.
rboles.
Bosques.
Un dominio constituye un lmite de seguridad. El directorio incluye uno o ms dominios, cada uno
de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros
dominios. Los dominios ofrecen varias ventajas: Las directivas y la configuracin de seguridad
(como los derechos administrativos y las listas de control de accesos) no pueden pasar de un
dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la
necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organizacin.
Cada dominio almacena solamente la informacin acerca de los objetos que se encuentran
ubicados en ese dominio. Al crear particiones en el directorio, Directorio
Activo puede ampliarse y llegar a contener una gran cantidad de objetos.
Los dominios son las unidades de replicacin. Todos los controladores de dominio de un dominio
determinado pueden recibir cambios y replicarlos a los dems controladores del dominio.
Un nico dominio puede abarcar varias ubicaciones fsicas distintas o sitios Al utilizar un solo
dominio se simplifican mucho las tareas administrativas.
Para crear un dominio, debe promover uno o ms equipos que ejecuten Windows 2000 Server o
Windows Server 2003 a controladores de dominio. Un controlador de dominio proporciona
servicios de directorio de Directorio Activo a usuarios y equipos de la red, almacena datos del
directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio
de sesin, la autenticacin y las bsquedas en el directorio. Cada dominio debe tener al menos
un controlador de dominio.
rboles
Todos los dominios que comparten el mismo dominio raz forman un espacio de nombres
contiguo llamado rbol. El primer dominio de un rbol de dominio se denomina dominio raz.
Los dominios adicionales del mismo rbol de dominio son dominios secundarios. Un dominio que
se encuentra inmediatamente encima de otro dominio del mismo rbol se denomina dominio
principal del dominio secundario. Esto significa que el nombre de un dominio secundario consta
del nombre de ese dominio secundario ms el nombre del dominio principal.
En la figura secundario.microsoft.com es un dominio secundario de microsoft.com y es el
dominio principal de secundario2.secundario.microsoft.com. El dominio microsoft.com es el
dominio principal de secundario.microsoft.com. Adems, es el dominio raz de este rbol.
Los dominios de Windows 2000 y Windows Server 2003 que forman parte de un rbol estn unidos entre s
mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son
bidireccionales y transitivas, un dominio de Directorio Activo recin creado en un bosque o rbol de dominio tiene
establecidas inmediatamente relaciones de confianza con todos los dems dominios en ese bosque o rbol de
dominio. Estas relaciones de confianza permiten que un nico proceso de inicio de sesin sirva para autenticar a un
usuario en todos los dominios del bosque o del rbol de dominio. Sin embargo, esto no significa que el usuario, una
vez autenticado, tenga permisos y derechos en todos los dominios del rbol de dominio. Dado que un dominio es
un lmite de seguridad, los derechos y permisos deben asignarse para cada dominio.
Bosque
Un bosque est formado por varios rboles de dominio. Los rboles de dominio de un bosque no
constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos rboles de dominio
(microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado
"soporte", los nombres DNS de esos dominios secundarios sern soporte.microsoft.com y
soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres
contiguo.
Sin embargo, un bosque no tiene ningn dominio raz propiamente dicho. El dominio raz del bosque es el primer
dominio que se cre en el bosque. Los dominios raz de todos los rboles de dominio del bosque establecen relaciones
de confianza transitivas con el dominio raz del bosque. En la figura microsoft.com es el dominio raz del bosque. Los
dominios raz de los otros rboles de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones
de confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras
entre todos los rboles de dominio del bosque. Al utilizar bosques y rboles de dominio se obtiene la flexibilidad que
ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser til, por ejemplo, en el caso de
compaas que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.
Estructura fsica
En el Directorio Activo, la estructura lgica est separada de la estructura fsica. La estructura
lgica se usa para organizar los recursos de la red y se usa la estructura fsica para configurar y
administrar el trfico de red. La estructura fsica del Directorio Activo est compuesta por sites y
controladores de dominio.
Esta estructura define dnde y cuando ocurrir el trfico de logon y de replicacin. Entender los
componentes de la estructura fsica del Directorio Activo es importante para optimizar el trfico de
red y el proceso de logon. Esta informacin ayudar a resolver problemas con los loggins y con la
replicacin.
Sitio
Un sitio es la combinacin de una o ms subredes IP conectadas en enlaces de alta velocidad.
Esta definicin permite configurar el acceso al Directorio Activo y la topologa de replicacin para que Windows
2000 y/o Windows Server 2003 utilicen los enlaces ms eficientes y sincronice el trfico de replicacin y de logon.
Se crean Sitios por dos razones importantes:
Optimizar el trfico de replicacin.
Posibilitar a los usuarios conectarse con controladores de dominio usando una posible conexin de alta velocidad.
Los Sitios mapean la estructura fsica de la red al igual que los dominios mapean la estructura lgica de la
correlacin.
La estructura fsica y lgica del Directorio Activo son independientes una de la otra lo cual tiene las siguientes
consecuencias: No hay correlacin entre la estructura fsica de la red y su estructura de dominio.
El Directorio Activo permite mltiples dominios en un solo sitio al igual que mltiples Sitios en un solo dominio.
Datos de configuracin
Los datos de configuracin describen la topologa del directorio. Estos datos de configuracin
incluyen una lista de todos los dominios, rboles y bosques, as como las ubicaciones de los
controladores de dominio y los catlogos globales.
Datos de esquema
El esquema es la definicin formal de todos los datos de objetos y atributos que se pueden
almacenar en el directorio. Los controladores de dominio que ejecutan Windows Server 2003
incluyen un esquema predeterminado que define muchos tipos de objetos, como cuentas de
usuarios y equipos, grupos, dominios, unidades organizativas y directivas de seguridad. Los
administradores y los programadores pueden ampliar este esquema mediante la definicin de
nuevos tipos de objetos y atributos o bien con la adicin de atributos nuevos para los objetos
existentes. Los objetos del esquema estn protegidos por listas de control de acceso, lo que
asegura que slo los usuarios autorizados puedan modificar el esquema.
Datos de aplicacin
Los datos almacenados en la particin de directorio de aplicaciones son de utilidad en aquellos
casos en los que se necesita replicar la informacin, pero no forzosamente a escala global. De
manera predeterminada, las particiones de directorio de aplicaciones no forman parte del
almacn de datos del directorio. El administrador es el encargado de crearlas, configurarlas y
administrarlas.
Esquema del Directorio Activo
El esquema del Directorio Activo contiene las definiciones de todos los objetos del directorio.
Cada objeto de directorio nuevo que crea se valida mediante la definicin de objeto adecuada del
esquema antes de escribirse en el directorio. El esquema consta de clases de objeto y atributos.
El esquema base (o predeterminado) contiene un extenso conjunto de clases de objeto y
atributos con los que se cumplen las necesidades de la mayora de las organizaciones y se
modela siguiendo el estndar X.500 de la International Standards Organization (ISO) para los
servicios de directorio. Dado que es ampliable, puede modificar y agregar clases y atributos al
esquema base. No obstante, debe tener muy en cuenta cada cambio aplicado, ya que la
ampliacin del esquema afecta a toda la red.
En el esquema, una clase de objeto representa una categora de objetos de directorio (como
usuarios, impresoras o aplicaciones) que comparten un conjunto de caractersticas comunes.
La definicin de cada clase de objeto contiene una lista de los atributos de esquema que se
puede utilizar para describir instancias de la clase. Por ejemplo, la clase Usuario tiene atributos
como givenName, surname y streetAddress. Al crear un nuevo usuario en el directorio, aqul se
convierte en una instancia de la clase Usuario y la informacin de usuario especificada se
convierte en instancias de los atributos.
Cada bosque slo puede contener un esquema, que se almacena en la particin de directorio del
esquema. La particin de directorio del esquema, junto con la particin de directorio de
configuracin, se replica a todos los controladores de dominio de un bosque. Sin embargo, un
solo controlador de dominio, el maestro de esquema, controla la estructura y contenido del
esquema.
Para mejorar el rendimiento en las operaciones de esquema (como la
validacin de nuevos objetos), cada controlador de dominio conserva una
copia del esquema en memoria (adems de la copia que guarda en disco).
Esta versin residente en cach se actualiza automticamente (despus de
un pequeo intervalo de tiempo) cada vez que se actualiza el esquema.
Como cada objeto del Directorio Activo, los objetos de esquema se
protegen contra usos no autorizados mediante listas de control de acceso
(ACL). De forma predeterminada, slo los miembros del grupo
Administradores de esquema tienen acceso de escritura al esquema. Por
tanto, para ampliar el esquema debe ser miembro de dicho grupo. El nico
miembro predeterminado del grupo Administradores de esquema es la
cuenta de administrador del dominio raz del bosque. Debe restringir la
pertenencia al grupo Administradores de esquema, porque si ampla el
esquema de forma inadecuada, puede tener serias consecuencias para la
red.
El catlogo global
Un catlogo global es un controlador de dominio que almacena una copia
de todos los objetos del Directorio Activo de un bosque. En el catlogo
global se almacena una copia completa de todos los objetos del directorio
para su dominio host y una copia parcial de todos los objetos de los dems
dominios del bosque, segn se muestra figura
Las copias parciales de todos los objetos de dominio incluidas en el catlogo global son las ms utilizadas en las
operaciones de bsqueda de los usuarios. Estos atributos se marcan para su inclusin en el catlogo global
como parte de su definicin de esquema. El almacenamiento de los atributos ms buscados de todos los objetos
de dominio en el catlogo global ofrece a los usuarios bsquedas ms efectivas sin afectar al rendimiento de la
red con referencias innecesarias a controladores de dominio.
Se puede agregar o quitar en el catlogo global de forma manual otros atributos de objetos mediante el
complemento Esquema del Directorio Activo.
En el controlador de dominio inicial del bosque se crea automticamente un catlogo global. Se puede agregar
funcionalidad del catlogo global a otros controladores de dominio, o cambiar su ubicacin predeterminada a otro
controlador de dominio.
Control de acceso al Directorio
Activo
Los administradores pueden utilizar el control de acceso para administrar el
acceso de usuarios a recursos compartidos por motivos de seguridad. En el
Directorio Activo, el control de acceso se administra en el nivel de objetos,
por medio de la configuracin de distintos niveles de acceso, o de permisos
a los objetos, como Control total, Escribir, Leer o Sin acceso. El control de
acceso en el Directorio Activo define cmo pueden utilizar los objetos del
Directorio Activo los distintos usuarios. Los permisos de objetos en el
Directorio Activo estn establecidos de forma predeterminada en la
configuracin ms segura.
Entre los elementos que definen los permisos de control de acceso de los
objetos del Directorio Activo, figuran los descriptores de seguridad, la
herencia de objetos y la autenticacin de usuarios.
Los permisos de control de acceso se asignan a objetos compartidos y a
objetos del Directorio Activo para controlar el uso que pueden hacer los
distintos usuarios de cada objeto. Un objeto compartido, o recurso
compartido, es un objeto destinado a ser usado en una red por uno o varios
usuarios, como archivos, impresoras, carpetas y servicios. Tanto los objetos
compartidos como los objetos del Directorio Activo almacenan los permisos
de control de acceso en descriptores de seguridad.
Delegacin y herencia
El inicio del proceso de instalacin del Directorio Activo puede comenzar desde el camino men de Inicio/Programas/Herramientas
Administrativas/Administre su servidor o desde Ejecutar, introduciendo dcpromo.exe. Se iniciar el asistente que
le guiar para instalar el Directorio Activo. Dicho asistente mostrar una pantalla como la de la figura
Una vez ledas las advertencias, pulse Siguiente.